Categorie
Inchieste

Guerra cibernetica in Nord Corea. Lazarus: l’apt che ha devastato banche, Tv, siti governativi e Sony

lazarus
Tempo di lettura: 6 minuti.

Dopo la parentesi russa, la nostra rubrica sulla guerra cibernetica si sposta in Corea del Nord dove esistono gruppi apt preparati seppur godano della nomea di “accattoni”, perchè le loro attività sono collegate più a recuperare fondi per il Governo, piuttosto che a sferrare attacchi con il fine militare.

Fatto sta che, se si vuole incominciare ad approcciarsi alla guerra cibernetica intrapresa dalla famiglia di Kim Jong, bisogna iniziare ad approfondire l’attività del Lazarus Group. Gestito dal governo nordcoreano e  noto anche come Labyrinth Chollima , Group 77 , Hastati Group, Whois Hacking Team, NewRomanic Cyber Army Team, Zinc, Hidden Cobra, Appleworm (?), APT-C-26, ATK 3 , SectorA01, ITG03 , il gruppo è motivato principalmente da un guadagno finanziario come metodo per aggirare le sanzioni applicate contro il controverso regime.  Il 2013 è stato l’anno in cui è emersa l’attività del gruppo, grazie anche ad una serie di attacchi coordinati contro un assortimento di emittenti e istituzioni finanziarie sudcoreane che hanno utilizzato DarkSeoul e che ritroveremo ciclicamente nelle cronache del gruppo.

Il Gruppo Lazarus ha 3 sottogruppi:

1. Sottogruppo: Andariel, Chollima

2. Sottogruppo: BeagleBoyz

3. Sottogruppo: Bluenoroff, APT 38, Stardust Chollima

Anche questi altri gruppi possono essere associati all’apt Lazarus: Covellite, Reaper, APT 37, Ricochet Chollima, ScarCruft e Wassonite.

Il primo attacco che si ricorda è l’operazione “Flame” e risale al 2007 con una attività di rottura e sabotaggio della rete informatica sud Coreana.

Nel 2009, invece, lo spettro di azione si allarga anche agli Stati Uniti con delle azioni militari ad alcuni dei più importanti uffici governativi degli USA e della Corea del Sud, tra cui la Casa Bianca, il Pentagono, la Borsa di New York e la Blue House presidenziale di Seoul, del ministero della Difesa, dell’assemblea nazionale, della banca Shinhan, della Korea Exchange bank e del principale portale Internet Naver. L’impatto è stato notevole ed ha acceso più di un riflettore sulle necessità del Governo nel proteggersi da eventuali attacchi informatici futuri.

Koredos: il trojan che va a caccia di tracce sudcoreane virtuali

Nel 2011 è accaduto un attacco che ha riportato subito alla memoria quello del 4 luglio 2009 contro i governi degli Stati Uniti e della Corea del Sud, così come i siti web finanziari e dei media. Solitamente si era abituati a trovare origine dell’attacca in un server di comando e controllo (C&C) che inviava comandi ai computer compromessi, provocando attacchi sistematici e coordinati. In questo caso, i comandi non provenivano da un C&C: sono stati nascosti all’interno della minaccia che ha coinvolto molti componenti nell’attacco e questo ha indicato un certo livello di sofisticatezza. Di questi file, il comportamento distruttivo viene eseguito dal file s[LETTERE CASUALI]svc.dll. Sebbene si siano viste diverse varianti di questo file.dll, il risultato finale ottenuto è stato lo stesso: il record di avvio principale (MBR) del computer compromesso veniva distrutto.

Alcune varianti scansionano le unità fisse dei computer compromessi alla ricerca di file con estensioni diverse, utilizzati da software prevalentemente utilizzati in Corea (ad esempio .alz, .gul e .hwp).

Ciò ha suggerito fortemente che la minaccia ha preso di mira i computer situati in Corea del Sud. Si è poi scoperto che il software malevolo è stato battezzato Koredos ed aveva il compito di sovrascrivere i file con tutti zeri. Inoltre, se la dimensione del file è maggiore o uguale a 10.485.760 byte, l’attacco è strutturato per eliminare semplicemente i file. Se un file non soddisfa la condizione precedente, la minaccia crea un file .cab utilizzando il nome file originale ed elimina il file originale. In altri casi i file eliminati potevano essere ripristinati utilizzando vari metodi, ma poiché venivano sovrascritti i file con zeri, il file originale non poteva essere ripristinato.

Dieci giorni di Guerra Informatica “Ten Days of Rain” / ”DarkSeoul”

Le reti di computer che gestivano tre importanti banche sudcoreane e le due più grandi emittenti televisive del paese sono rimaste paralizzate in attacchi che alcuni esperti sospettavano provenissero dalla Corea del Nord. Gli attacchi hanno impedito a molti sudcoreani di prelevare denaro dagli sportelli automatici ed hanno messo a vuoto gli schermi di tre canali televisivi.

Sempre nello stesso anno, 2013, è emerso un malware bancario individuato come Kastov, i cui autori hanno mostrato grande preparazione tecnica ed interesse verso le informazioni bancarie e finanziarie dei soggetti colpiti. Nella maggior parte dei casi il malware finanziario predilige gli exploit kit, osservato già in precedenza come vettore di infezione in un malware bancario Gongda che si rivolge principalmente alla Corea del Sud. Da qui è sorta l‘attenzione per il malware Kastov fornito dallo stesso exploit kit che prendeva di mira specifiche società finanziarie sudcoreane ed i loro clienti. I criminali informatici in questo caso hanno svolto le loro ricerche sul panorama finanziario online sudcoreano ed è stato possibile definire questo tipo di attività criminosa nell’ambito delle azioni intraprese dal governo nord coreano.

La fase iniziale di questa minaccia è composta dal Downloader.Castov .Compilata in Delphi , aveva la capacità di fermare il software antivirus che, una volta all’interno di un computer, segnalava l’infezione al suo server di comando e controllo (C&C) portandolo a scaricare un file crittografato per procedere poi alla seconda fase composta da Infostealer.Castov. L’infostealer controllava gli offset specifici in un elenco di DLL pulite (tutte relative al software bancario online coreano e alla sicurezza) per le istruzioni del codice operativo e quindi correggeva tali istruzioni. Il codice inserito controllava le stringhe che sembrano essere password, dettagli dell’account e transazioni. Una volta trovati e raccolti i dati, venivano inviati a un server remoto, e, grazie a questi, la combinazione di screenshot, password e certificati digitali ha consentito ai criminali informatici di accedere ai conti finanziari degli utenti.

DarkSeoul: da 4 anni contro la Corea del Sud

Il  25 giugno, la penisola coreana ha assistito a una serie di attacchi informatici in coincidenza con il 63° anniversario dell’inizio della guerra di Corea. Mentre più attacchi sono stati condotti da più autori, uno degli attacchi DDoS (Distributed Denial-of-Service) osservati contro i siti Web del governo sudcoreano sono stati collegati direttamente alla banda di DarkSeoul e Trojan.Castov.

Questa connessione ha consentito di attribuire più attacchi di alto profilo alla banda di DarkSeoul negli ultimi 4 anni contro la Corea del Sud, tra cui quelli che hanno riguardato i devastanti attacchi di Jokra nel marzo 2013, colpevoli di aver cancellato numerosi dischi rigidi di computer presso banche e emittenti televisive sudcoreane, nonché gli attacchi alle società finanziarie sudcoreane nel successivo maggio 2013. Castov si è contraddistinto anche per la sua capacità di coordinare un attacco DDoS con questa modalità:

  • Il sito Web compromesso portava al download di SimDisk.exe (Trojan.Castov), ​​una versione trojan di un’applicazione legittima.
  • Downloader.Castov si connetteva a un secondo server compromesso per scaricare il file C.jpg (Downloader.Castov), ​​un file eseguibile che sembra essere un’immagine.
  • La minaccia utilizzava la rete Tor per scaricare Sermgr.exe (Trojan.Castov).
  •  Castov eliminava il file Ole[VARIABLE].dll (Trojan.Castov) nella cartella di sistema di Windows.
  • Castov scaricava il file CT.jpg da un server Web che ospitava una webmail ICEWARP, compromessa a causa di vulnerabilità note pubblicamente in ICEWARP. Il file CT.jpg conteneva un timestamp utilizzato da Castov per sincronizzare gli attacchi.
  • Una volta raggiunto questo tempo, Castov rilasciava Wuauieop.exe (Trojan.Castdos).
  • Castdos iniziava a sovraccaricare il server DNS di Gcc.go.kr con richieste DNS, eseguendo efficacemente un attacco DDoS indirizzato simultaneamente a più siti Web.

Il film The Interview non piace ai nord coreani: Sony sotto attacco

Nel novembre 2014 un devastante attacco hacker a Sony Pictures ha esposto una serie di documenti interni trapelati e fogli di calcolo contenenti informazioni e dati dei dipendenti e dei dirigenti senior dell’azienda, che sono stati divulgati al pubblico. Sulla base dei rapporti iniziali, Sony ha chiuso l’intera rete aziendale dopo che un messaggio minaccioso, insieme a un teschio, è apparso sugli schermi dei loro computer. Il messaggio, inviato da un gruppo di hacker che si fa chiamare “Guardiani della Pace” (#GOP), avvertiva che era “solo l’inizio” e che sarebbe continuato fino a quando la loro “richiesta sarebbe stata soddisfatta“. Poco dopo la diffusione della notizia dell’hacking di Sony, ci sono state affermazioni dilaganti sul coinvolgimento della Corea del Nord e sul suo utilizzo del malware distruttivo colpevole di aver lanciato l’attacco:

25 novembre – I primi rapporti sull’attacco alla rete Sony Pictures hanno colpito i social media    28 novembre – Il sito di notizie tecniche Re/code ha riportato che la Corea del Nord è stata indagata per l’attacco
29 novembre – Copie di film inediti, ritenuti strappi di screener DVD di Sony Pictures, appaiono sui siti di condivisione file   
1 dicembre – Pubblicazione di documenti che rivelano gli stipendi dei dirigenti della Sony Pictures
3 dicembre – Re/code ha affermato che la Corea del Nord è stata considerata “ufficialmente responsabile” degli attacchi   
5 dicembre – E-mail minacciose sono state inviate ai dipendenti di Sony Pictures 
6 dicembre – La Corea del Nord ha rilasciato una dichiarazione definendo l’attacco “giusto”, ma nega il coinvolgimento   
8 dicembre – Le indagini hanno rivelato che gli hacker hanno utilizzato la rete ad alta velocità di un hotel a Bangkok, in Thailandia, per divulgare su Internet i dati riservati dei dipendenti il ​​2 dicembre.   
16 dicembre – Gli hacker inviano hanno inviato minacce di ulteriori attacchi, con riferimenti all’11 settembre 2001, se il film The Interview fosse uscito. 
17 dicembre – I funzionari statunitensi sono arrivati alla conclusione che la Corea del Nord ha ordinato gli attacchi informatici ai computer della Sony Pictures. I cinema hanno annunciato che non avrebbero proiettato il film e la Sony ha annullato l’uscita del film. 
19 dicembre – L’FBI ha rilasciato un aggiornamento ufficiale sulle loro indagini, concludendo che il governo nordcoreano era responsabile dell’attacco.

Il malware utilizzato negli attacchi:

  •     BKDR_WIPALL.A
  •     BKDR_WIPALL.B
  •     BKDR_WIPALL.C
  •     BKDR_WIPALL.D
  •     BKDR_WIPALL.E
  •     BKDR_WIPALL.F   

Di Livio Varriale

Giornalista e scrittore: le sue specializzazioni sono in Politica, Crimine Informatico, Comunicazione Istituzionale, Cultura e Trasformazione digitale. Autore del saggio sul Dark Web e il futuro della società digitale “La prigione dell’umanità” e di “Cultura digitale”. Appassionato di Osint e autore di diverse ricerche pubblicate da testate Nazionali. Attivista contro la pedopornografia online, il suo motto è “Coerenza, Costanza, CoScienza”.

Pronto a supportare l'informazione libera?

Iscriviti alla nostra newsletter // Seguici gratuitamente su Google News
Exit mobile version